HTTP全名叫什么？

　　· http的英文全稱是：HyperText Transfer Protocol。中文譯為超文本傳輸協(xié)議。http是一個(gè)簡單的請求-響應(yīng)協(xié)議，它通常運(yùn)行在TCP之上。

　　· HTTP是基于客戶/服務(wù)器模式，且面向連接的。典型的HTTP事務(wù)處理有如下的過程：

　　(1)客戶與服務(wù)器建立連接;

　　(2)客戶向服務(wù)器提出請求;

　　(3)服務(wù)器接受請求，并根據(jù)請求返回相應(yīng)的文件作為應(yīng)答;

　　(4)客戶與服務(wù)器關(guān)閉連接。

　　· HTTPS (全稱：Hyper Text Transfer Protocol over SecureSocket Layer)，HTTPS 主要由兩部分組成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸都會通過 TLS 進(jìn)行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)。

　　ssl：SSL = Secure Sockets Layer 安全套接字協(xié)議

　　tls：TLS = Transport Layer Security，TLS 傳輸層安全

　　HTTPS與HTTP原理區(qū)別

　　HTTP 原理

　　① 客戶端的瀏覽器首先要通過網(wǎng)絡(luò)與服務(wù)器建立連接，該連接是通過TCP 來完成的，一般 TCP 連接的端口號是80。 建立連接后，客戶機(jī)發(fā)送一個(gè)請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識符(URL)、協(xié)議版本號，后邊是 MIME 信息包括請求修飾符、客戶機(jī)信息和許可內(nèi)容 。

　?、?服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行，包括信息的協(xié)議版本號、一個(gè)成功或錯(cuò)誤的代碼，后邊是 MIME 信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容 。

　　HTTPS 原理

　　① 客戶端將它所支持的算法列表和一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)送給服務(wù)器 ;

　?、?服務(wù)器從算法列表中選擇一種加密算法，并將它和一份包含服務(wù)器公用密鑰的證書發(fā)送給客戶端;該證書還包含了用于認(rèn)證目的的服務(wù)器標(biāo)識，服務(wù)器同時(shí)還提供了一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù) ;

　?、?客戶端對服務(wù)器的證書進(jìn)行驗(yàn)證(有關(guān)驗(yàn)證證書，可以參考數(shù)字簽名)，并抽取服務(wù)器的公用密鑰;然后，再產(chǎn)生一個(gè)稱作 pre_master_secret 的隨機(jī)密碼串，并使用服務(wù)器的公用密鑰對其進(jìn)行加密(參考非對稱加 / 解密)，并將加密后的信息發(fā)送給服務(wù)器 ;

　?、?客戶端與服務(wù)器端根據(jù) pre_master_secret 以及客戶端與服務(wù)器的隨機(jī)數(shù)值獨(dú)立計(jì)算出加密和 MAC密鑰(參考 DH密鑰交換算法) ;

　?、?客戶端將所有握手消息的 MAC 值發(fā)送給服務(wù)器 ;

　　⑥ 服務(wù)器將所有握手消息的 MAC 值發(fā)送給客戶端 。

　　HTTPS的優(yōu)缺點(diǎn)

　　優(yōu)點(diǎn)

　　1. 使用 HTTPS 協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器 ;

　　2. HTTPS 協(xié)議是由 SSL+HTTP構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比 HTTP安全，可防止數(shù)據(jù)在傳輸過程中被竊取、改變，確保數(shù)據(jù)的完整性 。

　　3. HTTPS 是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本 [2]

　　缺點(diǎn)

　　4. 相同網(wǎng)絡(luò)環(huán)境下，HTTPS 協(xié)議會使頁面的加載時(shí)間延長近 50%，增加 10%到 20%的耗電。此外，HTTPS 協(xié)議還會影響緩存，增加數(shù)據(jù)開銷和功耗 。

　　5. HTTPS 協(xié)議的安全是有范圍的，在黑客攻擊、拒絕服務(wù)攻擊和服務(wù)器劫持等方面幾乎起不到什么作用。

　　6. 最關(guān)鍵的是，SSL 證書的信用鏈體系并不安全。特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

　　7. 成本增加。部署 HTTPS 后，因?yàn)?HTTPS 協(xié)議的工作要增加額外的計(jì)算資源消耗，例如 SSL 協(xié)議加密算法和 SSL 交互次數(shù)將占用一定的計(jì)算資源和服務(wù)器成本。在大規(guī)模用戶訪問應(yīng)用的場景下，服務(wù)器需要頻繁地做加密和解密操作，幾乎每一個(gè)字節(jié)都需要做加解密，這就產(chǎn)生了服務(wù)器成本。隨著云計(jì)算技術(shù)的發(fā)展，數(shù)據(jù)中心部署的服務(wù)器使用成本在規(guī)模增加后逐步下降，相對于用戶訪問的安全提升，其投入成本已經(jīng)下降到可接受程度。

　　更多關(guān)于前端培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項(xiàng)目實(shí)操的話可以點(diǎn)擊咨詢課程顧問，獲取試聽資格來試聽我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。